GMT 0023-2023 IPSec VPN网关产品规范

代替GM/T0023—2014IPSecVPN网关产品规范2023-12-04发布IGM/T0023—2023 1范围 12规范性引用文件 13术语和定义 5功能要求 25.1随机数生成 25.2工作模式 25.3密钥交换 25.4安全报文封装 2 25.6鉴别方式 25.7IP协议版本支持 25.8抗重放攻击 25.9密钥更新 2 35.11热备份 35.12负载均衡 35.13对端探测 3 35.15集群部署 35.16动态地址 36性能要求 36.1加解密吞吐率 36.2加解密时延 36.3加解密丢包率 46.4每秒新建隧道数 46.5最大并发隧道数 47安全性要求 47.1密钥管理要求 47.2密码协议要求 47.3算法配用要求 5Ⅱ 5 57.6硬件安全要求 7.7软件安全要求 5 8.1配置管理 5 6 8.4管理员要求 78.5管理协议和接口 8 8 89.2密码部件 8 89.4环境适应性 8 8 8 810.1检测说明 810.2外观和结构的检查 9 910.5性能检测 10.7管理检测 10.8硬件检测 11判定规则 Ⅲ本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规本文件代替GM/T0023—2014《IPSecVPN网关产品规范》。与GM/T0023—2014相比，除结构调整和编辑性改动外，主要技术变化如下：a)增加了GCM可鉴别加密机制作为对称算法的工作机制(见5.4和7.3);c)删除了“参数可配置能力要求”“过程保护”(见2014年版的5.6和5.7)d)增加了“密码协议要求”“算法配用要求”“密码部件调用接口要求“敏感参数配置管理”更改为“配置管理”作增加了9配置数据管理”将“远程临控管理”更改为“设备监程管理”增加了“管理际议租要”,增加了远程配置管理，远程设备监控的协议和接口要求(见第8章，2014年版的第5章);f)将“检测要求”更改为要检测方法”,照新的章节结构和内容进行相应更敢(见第10章，2014年版的第6章g)将“合格判定”更改为判期则”,并接新的意节结构租内容用行了相应更改(见第11章，2014年版的第7章)请注意本文件的某些内容可能涉及专和二不文件的发布租构不水推识丽母利的责任。本文件由密码行业标准化技术委员会提出并归本文件起草单位：中电科网络安全科技股份有限公司、四川大学、深信服科技股份有限公司、阿里云计算有限公司、鼎铉商用密码测评技术有限公司、格尔软件股份有限公司、无锡江南信息安全工程技术中心、兴唐通信科技有限公司、山东得安信息技术有限公司、华为技术有限公司天融信科技集团股份有限公司、西安交大捷普网络科技有限公司、山东大学。本文件及其所代替文件的历次版本发布情况为：——2014年首次发布为GM/T0023—2014;——本次为第一次修订。IPSecVPN网关产品规范本文件规定了IPSecVPN网关产品的功能要求、性能要求、安全性要求、管理要求、硬件要求、检测方法和合格判定条件。本文件适用于IPSecVPN网关产品的研制使用和检测2规范性引用文件下列文件中的内容通过交中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包插所有的修改单)适用于本文件。GB/T5843.3信息技术安空技术别部分：采用数字签名技术的机制GB/T38636信息安全技的层密码协议(TCP)GM/T0016智能密码钥匙密码应用接门GM/T0022-2023IPSecVPN技术规范GM/T0028密码模块安全要求GM/T0062密码产品随机数检测要求GM/Z4001密码术语3术语和定义GM/Z4001界定的术语和定义适用于本文件。下列缩略语适用于本文件。AH:鉴别头(AuthenticationHeader)CBC:密文分组链接(CipherBlockChaining)DPD:对端探测(DeadPeerDetection)ESP:封装安全载荷(EncapsulatingSecurityPayload)GCM:Galois计数器模式(GaloisCounterMode)工2采用GCM算法生成的16字节用于数据完整性校验的标签赋值ESP报文中的鉴别数据IPSecVPN网关单独使用ESP协议时应支持NAT穿越，NAT穿越协议应符合GM/T0022—3 456788.5管理协议和接口IPSecVPN网关的远程配置管理和远程设备监控功能，应使用安全的协议和接口，建立安全通道，进行实体鉴别以及消息的机密性和完整性保护：——如果采用传输层密码协议(TLCP),应符合GB/T38636的规定；——如果采用IPSec协议，应符合GM/T0022—2023的规定；——如果采用自定义密码协议，应符合密码国家标准、行业标准的相关要求。9硬件要求9.1外部接口IPSecVPN网关具备外部接口：——应至少具备两个工作网口；——应支持双臂(即具备两个网络接口，采用串接的方式将设备接入网络)接入：——宜支持单臂接入(以单个网络接口用旁路的方式将设备接入网络);——应具备管理接1,管理接工宜通过TCP/IP网络或电行接自与管理设备连接。IPSeeVPN网关应采用通过商用密码检师认证的码模填或要全恶序作为密码部伴实现密码运算和密钥管理。9.3随机数发生器IPSeavp网关采用的随机数爱生器应通过商朋密码检测认市二生成的随机数应由爹路硬件随机源产生并符合GM/T0005的要求至少采用两个独立的物理噪声源志片实现。9.4环境适应性IPSecVPN网关应遵守GB/T9813.3中关于气候环境适应性的相关要求。9.5电磁兼容性IPSecVPN网关应遵守GB/T15153.1中关于电磁兼容等级的相关要求。9.6可靠性IPSecVPN网关的平均无故障工作时间应不低于10000h,平均可持续加密流量应不低于10000Gb,宜使用双机热备、集群或负载均衡部署方式提高可靠性。10检测方法10.1检测说明检测要求规定了IPSecVPN网关的通用检测内容和方法。检测应包括外观和结构检查、提交文9按照GM/T0005的要求提取样本，并按照该规范的相关要求进行检测，检测结果应符合 功完成密钥的更新当湖足更新条件时二使用网络报文截获工具应能分别看到相应的第一阶段和第二阶段的密组交换过程—如果设备具有根据流量重新密钥的，在检测设备和被检测设备按照相同参数设定会话应能看到第二阶段的密钥交换过(使用IPSee处理),利用检测设备在被检测设备的丙网日发医前述不同五元组的数据报文，在被检测设备的外网应不能检测到设定为丢弃的数据报文、应检测到设